django身份认证、权限认证、频率校验使用及源码分析
一. 身份认证源码分析
1.1 APIView源码的分析
APIView源码之前分析过https://www.cnblogs.com/maoruqiang/p/11135335.html,里面主要将request对象进行了封装,提供了额外的方法与属性,同时让装饰的CBV中方法忽略CSRF校验,最后还提供了身份认证、权限认证、频率校验等功能。
二. 身份认证源码分析及使用
2.1 身份认证源码分析
在APIView中的dispatch方法中提供了三大校验:
进入self.perform_authentication(request)方法
返回APIView的dispatch方法中:
进入self.initialize_request(request, *args, **kwargs)
进入self.get_authenticators()
此时继承APIView的类中没有定义该属性,所以看看APIView中有没有
这里进入api_settings,搜索身份认证相关的配置
我们将其复制到django项目中的settings.py中:
REST_FRAMEWORK = {
# 身份认证配置,实际上这是全局配置
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
)
}
随后回到requst.user,因为request是Request的对象,所以只需的是Request的user方法
点击进入self._authenticate()
这就意味着我们要重写authenticate方法,那么要继承什么类吗,去之前复制到settings.py中默认的两个身份认证类中看看(将字符串复制出来改成导包的形式即可点击进入),随后进入其父类BaseAuthentication
在应用文件夹下新建myauthenticate.py文件,其中书写如下:
from rest_framework.authentication import BaseAuthentication
from rest_framework.exceptions import AuthenticationFailed
from django.contrib import auth # 身份认证组件
class AuthenticateSybil(BaseAuthentication):
def authenticate(self, request):
username = request.data.get('username')
pwd = request.data.get('password')
print('身份认证开始', username, pwd)
user_obj = auth.authenticate(username=username, password=pwd)
if user_obj:
# 分别可以使用request.user, request.auth取到
return user_obj, '认证通过'
else:
# 用于认证失败时返回信息给前端
raise AuthenticationFailed('认证失败')
随便可以全局配置settings.py:
REST_FRAMEWORK = {
# 身份认证配置
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
'app02.myauthticate.AuthenticateSybil'
)
}
区部配置,在视图类中写即可
from rest_framework.views import APIView
from rest_framework.response import Response
from app02.myauthticate import AuthenticateSybil
# Create your views here. class Test(APIView):
authentication_classes = [AuthenticateSybil]
#复制列表为空则是局部忽略校验
authentication_classes = []
def post(self, *args, **kwargs):
print('成功进入视图函数')
return Response({"name": "sybil"})
2.2 权限校验源码分析及使用
进入self.check_permissions(request)
老样子,去api_settings中搜索权限校验类,看看他们怎么写的
同时看看permission_denied
同样在myauthenticate.py中书写该认证
from rest_framework.permissions import BasePermission # 权限认证组件
class PermissionSybil(BasePermission):
message = '' def has_permission(self, request, view):
print('权限认证开始')
user_obj = request.user
if not user_obj.is_superuser:
self.message = '权限不足'
else:
return True
全局配置:
REST_FRAMEWORK = {
# 身份认证配置
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
'app02.myauthticate.AuthenticateSybil'
),
# 权限校验全局配置
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.AllowAny',
'app02.myauthticate.PermissionSybil'
)
}
局部配置
class Test(APIView):
authentication_classes = [AuthenticateSybil]
#局部配置,如果想忽略校验则将值改为空[]
permission_classes = [PermissionSybil] def post(self, *args, **kwargs):
print('成功进入视图函数')
return Response({"name": "sybil"})
2.3 频率校验源码分析及使用
进入self.check_throttles(request)
所以我们需要重写allow_request方法,点击进入频率校验的父类:
父类方法如下:
为了方便,我们使用SimpleRateThrottle
该类实例化时会执行__init__
先看看get_rate()方法
那么THROTTLE_RATES是啥,我们看看
去api_settings中查看
接下来看看self.parse_rate(self.rate)方法
然后看看频率组件需要重写的allow_request
看看throttle_success
自定义频率组件,这里同样写在myauthenticate.py中
from rest_framework.throttling import SimpleRateThrottle # 频率校验
class ThrottleSybil(SimpleRateThrottle):
scope = 'Isybil' def get_cache_key(self, request, view):
# 这里可以直接调用父类的get_ident获取唯一标识
return super(ThrottleSybil, self).get_ident(request)
全局配置:
REST_FRAMEWORK = {
# 身份认证配置
'DEFAULT_AUTHENTICATION_CLASSES': (
'rest_framework.authentication.SessionAuthentication',
'rest_framework.authentication.BasicAuthentication',
'app02.myauthticate.AuthenticateSybil'
),
# 权限认证全局配置
'DEFAULT_PERMISSION_CLASSES': (
'rest_framework.permissions.AllowAny',
'app02.myauthticate.PermissionSybil'
),
# 频率校验全局配置
'DEFAULT_THROTTLE_CLASSES': (
'app02.myauthticate.ThrottleSybil',
),
'DEFAULT_THROTTLE_RATES': {
# 用户Isybil的频率限制,类中scope = 'Isybil'可以获取该限制
'Isybil': '3/m',
},
}
局部配置
from rest_framework.views import APIView
from rest_framework.response import Response
from app02.myauthticate import AuthenticateSybil, PermissionSybil, ThrottleSybil
# Create your views here. class Test(APIView):
authentication_classes = [AuthenticateSybil]
permission_classes = [PermissionSybil]
throttle_classes = [ThrottleSybil] def post(self, *args, **kwargs):
print('成功进入视图函数')
return Response({"name": "sybil"})
django身份认证、权限认证、频率校验使用及源码分析的更多相关文章
- drf 权限校验设置与源码分析
权限校验 权限校验和认证校验必须同时使用,并且权限校验是排在认证校验之后的,这在源码中可以查找到其执行顺序. 权限校验也很重要,认证校验可以确保一个用户登录之后才能对接口做操作,而权限校验可以依据这个 ...
- Django框架深入了解_01(Django请求生命周期、开发模式、cbv源码分析、restful规范、跨域、drf的安装及源码初识)
一.Django请求生命周期: 前端发出请求到后端,通过Django处理.响应返回给前端相关结果的过程 先进入实现了wsgi协议的web服务器--->进入django中间件--->路由f分 ...
- Spring Security(1):认证和授权的核心组件介绍及源码分析
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方式的安全框架.它包括认证(Authentication)和授权(Authorization)两个部 ...
- Django 基于类的视图(CBV)执行流程 CBV 源码分析
一.CBV(基于类的视图) 视图是可以调用的,它接受请求并返回响应,这不仅仅是一个函数,Django提供了一些可以用作视图的类的例子,这些允许您通过继承或mixin来构建视图并重用代码. 基本示例 D ...
- Django drf:cbv(class base view)源码分析
cbv是基于类的视图 # 首先要在路由层配置: # 找到类绑定方法as_view # 点开dispatch的方法 # http_method_names其实就是方法的列表 整个流程: 1.写一个基于类 ...
- DRF 认证 权限 视图 频率
认证组件 使用:写一个认证类,继承BaseAuthentication 在类中写authenticate方法,把request对象传入 能从request对象中取出用户携带的token根据token判 ...
- Django(64)频率认证源码分析与自定义频率认证
前言 有时候我们发送手机验证码,会发现1分钟只能发送1次,这是做了频率限制,限制的时间次数,都由开发者自己决定 频率认证源码分析 def check_throttles(self, request): ...
- Django rest framework 的认证流程(源码分析)
一.基本流程举例: urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^users/', views.HostView.as_view() ...
- Django REST framework —— 认证组件源码分析
我在前面的博客里已经讲过了,我们一般编写API的时候用的方式 class CoursesView(ViewSetMixin,APIView): pass 这种方式的有点是,灵活性比较大,可以根据自己的 ...
随机推荐
- js javascript 获取url,获得当前页面的url,静态html文件js读取url参数
获得当前页面的url window.location.href 静态html文件js读取url参数 location.search; //获取url中"?"符后的字串 下边为转载的 ...
- Django中的Model.objects.create() 和 Model() 的区别?
Django 官方文档说明 objects.create 是 A convenience method for creating an object and saving it all in one ...
- redis命令学习(二) · THIS SPACE
列表(Lists)操作命令 Redis列表是简单的字符串列表,按照插入顺序排序. 你可以添加一个元素导列表的头部(左边)或者尾部(右边)LPUSH命令插入一个新的元素导头部,而RPUSH插入一个新元素 ...
- GRE阅读
界面和托福差不多,就是反一反 GRE先读文章!因为出题顺序不一致.另外,不能跳读!!每一句都要读,即使不是观点. 考察能力: 1 三秒版本 边读边概括 解决前面的抗遗忘能力 2 句间关系 取同 取反 ...
- 你有哪些相见恨晚的Chrome 扩展?
「Chrome 没插件,香味少一半」,本期我们就来一起盘点一下chrome上那些相见恨晚的扩展. 1 JSONView2 Adblock Plus3 Keylines4 彩云小译5 单词发现者6 鼠标 ...
- webpack插件
插件 plugins:[ new ExtractTextPlugin.extrct({ }) //创建html new HtmlWebpackPlugin({ title:"first pa ...
- 《SDN期末作业——实现负载均衡》
队名:取个队名真难 一.网络拓扑(场景二) 二.负载均衡程序 1.建立拓扑的代码 拓扑 2.下发组表流表的代码 下发组表流表 三.演示视频 1.目的 服务器h2,h3,h4上各自有不同的服务,h1是客 ...
- Git 程序员篇
关于 Git Git 背后的故事 伟大的作品总是诞生于伟大的时代,正如 Git 同样诞生于一个英雄辈出.极富纷争的年代. 2005 年,Linux 内核开发社区正面临严峻的挑战:他们不能继续使用 Bi ...
- PHP压缩文件夹 php
$path = PUBLIC_DIR.'/images/'; //待压缩文件夹父目录 $zipPath = PUBLIC_DIR.'/images_zip/'; //压缩文件保存目录 !is_dir( ...
- 解决vue2.0下IE浏览器白屏问题
公司新开发的项目需要兼容到IE9+ 就在index.html页面加入 <meta http-equiv="X-UA-Compatible" content="IE= ...